熊猫烧香的病毒特征[转]（ 此文章被查看:1018次,被回复:0篇!! ）

该病毒会在运行之后把自已拷贝到%system%\Drivers\spoclsv.exe,并且在HKCU\Software\Microsoft\Windows\CurrentVersion\Run处添加自启动项Svcshare,键值为: %system%\Drivers\spoclsv.exe,并且每隔几秒就关闭安全软件的窗体,进程,服务,自启动项,修改文件关联,感染可执行文件和脚本文件,删除ghost备份文件.
一 病毒行为
1关闭窗体 (1秒一次)
只要标题中符合以下字符的窗体,会被关掉
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword
并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
2 访问作者指定的网页和关闭admin$共享 (18秒一次)
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享

3 下载指定的文件和关闭admin$( 10秒一次)
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享

4删除杀毒和反病毒软件的注册表自启动项和关闭服务(6秒一次)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse

并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00

删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

5 感染文件,把文件作为自身的一个节,病毒末尾
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,

但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

6:删除所有的ghost文件
病毒会删除扩展名为ghost的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.二查杀方法
1 删除进程C:\WINDOWS\system32\drivers\spoclsv.exe
2 删除病毒文件
3 修改注册表设置，恢复“显示所有文件和文件夹”选项功能： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 2.打开我的电脑-工具-文件夹选项-显示-显示所有文件和文件夹和系统文件
4. 删除病毒文件： C:\WINDOWS\system32\drivers\spoclsv.exe
5.根目录下的文件： setup.exe autorun.inf
6. 删除病毒创建的启动项： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe"


三 该病毒的可恶之处
杀毒软件对于该病毒没有办法是因为该病毒,基本上都对知名的杀毒软件和调试工具做了防范措施,除非是专杀工具,不然进程刚启动,就被干掉.由于被动的进行防护,所以无法起到清除病毒的效果.再者,杀毒软件对自己本身的保护不够,导致到进程,窗体,可以轻易的让其它进程关闭.
病毒之所以能流行也是因为普通用户,补丁不打,防护类软件不装.开着大门任其横冲直撞.